[BUG] 在防火墙设置里开启禁ping对 icmpv6 不起作用

[Muione]

联系方式

No response

1Panel 版本

v1.10.13-lts

问题描述

在防火墙设置里开启禁ping对 icmpv6 不起作用。

重现步骤

开启禁 ping，然后外部使用 icmpv6 协议 ping 服务器，仍然能得到回应。

期待的正确结果

开启禁 ping 之后，使用 icmp 和 icmpv6 两种协议都应该得到超时响应。

相关日志输出

No response

附加信息

No response

[wanghe-fit2cloud]

可以先手动执行以下命令来禁用 ICMP 或 ICMPv6 ping 功能。如果有效，我们会在后续版本中考虑集成和适配。具体操作如下：

1. 检查和配置防火墙规则

IPv4 ICMP

1. 查看现有规则:

   sudo iptables -L -v -n

2. 添加规则以禁用 ICMP 回显请求:

   sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

3. 保存规则 (适用于基于 iptables 的系统):

   sudo iptables-save > /etc/iptables/rules.v4

IPv6 ICMP

1. 查看现有规则:

   sudo ip6tables -L -v -n

2. 添加规则以禁用 ICMPv6 回显请求:

   sudo ip6tables -A INPUT -p ipv6-icmp --icmpv6-type echo-request -j DROP

3. 保存规则:

   sudo ip6tables-save > /etc/iptables/rules.v6

2. 调整系统设置

禁用 ICMP (IPv4)

1. 编辑 /etc/sysctl.conf 文件:

   sudo nano /etc/sysctl.conf

2. 添加以下行以禁用 ICMP 回显请求:

   net.ipv4.icmp_echo_ignore_all = 1

3. 应用更改:

   sudo sysctl -p

禁用 ICMPv6 (IPv6)

1. 编辑 /etc/sysctl.conf 文件:

   sudo nano /etc/sysctl.conf

2. 添加以下行以禁用 ICMPv6 回显请求:

   net.ipv6.icmp.echo_ignore_all = 1

3. 应用更改:

   sudo sysctl -p

3. 重启网络服务

有时，配置更改需要重启网络服务以生效：

sudo systemctl restart networking

4. 验证配置

• IPv4:

  ping 127.0.0.1

• IPv6:

  ping6 ::1

确保上述 ping 测试失败，说明 ICMP 请求已经被成功禁用。如果仍然遇到问题，检查是否有其他配置或网络设备（如路由器、交换机）影响 ICMP 流量。

[Muione]

我的系统是 ubuntu 22.04LTS，同时我也在 debian 12.6上进行了尝试，我没有执行

1. 检查和配置防火墙规则

这一步骤，因为我安装了 ufw (我不想改变当前的设置），查看 iptables 的选项时，设置的是允许 icmpv6 数据包流入的，配置如下：

Chain ufw6-before-input (1 references)
 pkts bytes target     prot opt in     out     source               destination    
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 1
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 2
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 3
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 4
  242 24976 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 133 HL match HL == 255
45432 3998K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 134 HL match HL == 255
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 HL match HL == 255
 8359  602K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 HL match HL == 255
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 141 HL match HL == 255
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 142 HL match HL == 255
    0     0 ACCEPT     icmpv6    *      *       fe80::/10            ::/0                 ipv6-icmptype 130
    0     0 ACCEPT     icmpv6    *      *       fe80::/10            ::/0                 ipv6-icmptype 131     
...

但我发现这并不影响后续的设置。

按照你的方法，我在 /etc/sysctl.conf 文件中追加了这两行：

net.ipv4.icmp_echo_ignore_all = 1
net.ipv6.icmp.echo_ignore_all = 1

这已经能够实现禁止 icmp 和 icmpv6 回显了。